关于v2ex.com的HSTS研究

默认分类 2018/02/28 05:31

事情经过：

1. 研究v2ex.com时发现不能通过etc\hosts在本地映射查看，总是会强制跳到https
2. 第一反应应该改在代码中写了强制跳转的逻辑，看了下JS代码，确实有一段强制跳https的代码，去掉后发现还是会跳
3. 于是尝试改成其他域名abc.com，发现不再强制跳转
4. 猜测可能是网站做了什么设置，查了下stackoverflow的资料，发现和HSTS有关
5. 打开 chrome://net-internals/#hsts 一查，果然 v2ex.com 在列
6. 按照操作步骤，尝试 Delete domain， 发现无效
7. 纳闷Delete为啥不起作用，仔细看了下描述 Delete domain security policies： Input a domain name to delete its dynamic domain security policies (HSTS, HPKP, and Expect-CT). (you cannot delete preloaded entries):
8. 难道 v2ex.com 被chrome preloaded 了???
9. 找了个网站 https://hstspreload.org/?domain=v2ex.com 查了一下， 果然在列
10. 看了下 https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json 也再次确证了上述猜测
11. 不得不说 v2ex.com 的安全性做得很赞。 另：上次写蜘蛛用v2ex.com练手时发现根本抓不了v2ex.com，强～

>> 留言评论